Мудрый Экономист

Электронные деньги: преимущества и недостатки

"Финансовая газета. Региональный выпуск", 2008, N 8

С развитием информационных технологий появились такие понятия, как "online-магазины", "электронные деньги", "web-трансакции" и т.п. Фактически все эти сервисы имеют одну цель - создать комфортные условия для приобретения товара или заказа услуги с минимальными затратами. Пользуясь современными технологиями на работе, дома или в любой точке, где есть беспроводной доступ к сети Интернет, вы кладете виртуальные товары в виртуальные корзины и оформляете покупку, при этом деньги за них платите вполне реальные или эквивалентные реальным. Только ваш кошелек лежит не в кармане, а в глобальной сети, что логичным образом подвергает его определенным рискам. Попробуем разобраться, чем может обернуться использование виртуальных денег и как избежать связанных с этим потенциальных неприятностей.

В ходе исследования, проведенного компанией R&T Research по заказу BSA накануне нового 2008 г., были опрошены сотрудники компаний, постоянно использующие ресурсы Интернета как в рабочих, так и в личных целях. Выяснилось, что 27% предстоящих новогодних покупок офисные работники Москвы планировали делать через Интернет (год назад эта цифра равнялась 20%). Такой способ приобретения новогодних подарков, электроники и других товаров позволяет существенно экономить время.

Сегодня в России на рынке сервисов, основанных на электронных деньгах, играет не один десяток крупных организаций, владеющих электронными платежными системами, среди них - WebMoney, "Яндекс.Деньги", RUpay, MoneyMail и "Деньги@mail.ru". Популярность таких систем, скорее всего, будет только расти, особенно если учесть, что сейчас еще не все Интернет-магазины взяли на вооружение эту технологию. С ростом доверия к ней рынок должен расшириться, однако здесь возникает несколько проблем.

Электронный кошелек, как и любой другой счет, необходимо заранее пополнять. Вариантов виртуализации реальных денег путем занесения средств в электронные кошельки существенно больше, чем аналогичных вариантов для пополнения классических банковских счетов, но мало кто конвертирует в виртуальные деньги большие суммы. В основном пользователи пополняют свой счет ровно на ту сумму, которая будет потрачена в ближайшее время на заранее определенную покупку. Это связано прежде всего с невысоким уровнем доверия к электронным платежным системам. Точно такое же мнение сложилось и в отношении оплаты Интернет-покупок пластиковыми картами сразу через web. Соответствует ли это мнение действительности? На самом ли деле использование сервисов, связанных с глобальной сетью, с одной стороны, и финансовыми операциями - с другой, может повлечь негативные последствия?

При первичной регистрации в какой-либо системе расчетов создается личный электронный кошелек каждого пользователя. Если он пожелает провести определенную трансакцию - снять деньги, оплатить покупку или перечислить деньги на другой web-кошелек, - то должен будет ввести корректный пароль, который известен лишь ему одному. Для проведения любых операций со своим web-кошельком пользователь устанавливает некое клиентское приложение на свой компьютер или просто запускает браузер, после чего идентифицирует себя, вводя логин и пароль, и в случае успешной аутентификации получает доступ к своему виртуальному кошельку.

Подбор пароля

Широко известно, что качественным и стойким к перебору паролем является набор символов, цифр и букв (причем желательно в разном регистре), состоящий из 10 - 15 знаков. Естественно, мало кто соблюдает это правило, часто пароли записываются на стикеры, а использование одинакового пароля для доступа к публичной почте, компьютеру и различным Интернет-сервисам вообще является чуть ли не всеобщей практикой, а между тем небезопасность такого подхода очевидна. Приведем пример. Исследователи из университета Мэрилэнд провели эксперимент, оставив на 24 дня подключенными к Интернету четыре компьютера под управлением Linux, защищенные "слабыми" легкоподбираемыми паролями. Как показали результаты, на системы было совершено около 270 тыс. попыток атаки, примерно по одной на каждые 39 сек. Большинство атак проводилось с помощью словарных сценариев, просто перебирающих в расчете на совпадение списки наиболее распространенных паролей и имен. В 43% случаев атакующие пытались использовать одни и те же слова и в качестве имени и в качестве пароля. Всего успеха добились 825 атак.

Главная проблема парольной системы доступа, с которой может столкнуться пользователь web-кошелька, заключается в том, что кто-то выдаст себя за него. Узнав номер кошелька и пароль, злоумышленник сможет провести любую трансакцию, не говоря о возможности узнать баланс, оценить финансовую историю, скопировать эти данные и переправить любому заинтересованному лицу. И если пропажу денег еще можно обнаружить, то все остальное - гораздо сложнее. При этом нужно понимать, что в случае использования сети Интернет пароль не обязательно "подсматривать". Метод подбора пароля вопреки распространенному мнению тоже не всегда действен. Большинство систем не позволит долго подбирать пароль, а кошелек, в отношении которого начались подозрительные действия, заблокируют до выяснения обстоятельств. Конечно, легальный пользователь потратит определенное время на возобновление работоспособности своего кошелька, но в случае с паролями это, к сожалению, чуть ли не единственный вариант.

Использование протокола SSL

Самым распространенным видом атаки является перехват паролей, так как последовательность символов, введенная пользователем с клавиатуры и предназначенная для передачи серверу, во время пути своего следования может быть подсмотрена не один раз. Для решения этой проблемы используется протокол SSL, который позволяет установить защищенное соединение с сервером. При этом все данные, в том числе и пароль, передаваемые между пользователем и сервером, надежно шифруются.

В основе протокола SSL лежит использование цифровых сертификатов, удостоверяющих подлинность сервера. Этот протокол используется и для подтверждения того, что пользователь находится на доверенном с точки зрения безопасности сайте. Причем далеко не всегда клиенты банка точно знают, какой адрес страницы правильный:

правильно citibank.account.com или account.citibank.com;

в некоторых шрифтах заглавная i и строчная L выглядят одинаково (I = l);

URL-адрес необязательно набирается вручную (адрес для перехода из поисковика или по ссылке из электронного письма может выглядеть крайне запутанно).

Значок SSL (защелкнутый замок) - верный признак того, что пользователь находится на аутентифицированном сайте. Но всегда ли на него обращают внимание? К сожалению, достаточно редко пользователи хорошо представляют себе, что такое цифровые сертификаты и как правильно реагировать на вопросы браузера о доверии тому или иному удостоверяющему центру, выдавшему сертификат для сайта. Таким образом, многие (если не все) не проверяют то, что сервер действительно верно аутентифицирован.

Решение проблемы безопасных платежей в Интернете

Незнание элементарных вещей или отсутствие должного внимания неизбежно ведет к тому, что риски совершения финансовых мошенничеств продолжают оставаться высокими, тормозя развитие самой сферы электронных платежей, т.е. фактически целой отрасли.

Следует отметить, что компании, оказывающие данный вид услуг, вместо решения проблемы просто перекладывают всю ответственность на самих пользователей. Вот, например, выдержки из публичной оферты на использование одной из платежных систем:

оператор не несет ответственность за убытки, понесенные клиентом в результате пользования предоставляемыми услугами;

оператор не несет ответственность за возможные нежелательные для пользователя последствия, возникшие вследствие предоставления ему телефонной консультации;

оператор не несет ответственность за обеспечение безопасности оборудования и программного обеспечения пользователя, используемого для получения услуг;

клиент самостоятельно несет ответственность за выполнение договора об использовании платежной системы, приложений, соглашения и положений к настоящему договору, размещенных на сайте.

Тем не менее варианты решения проблемы безопасных платежей в Интернете все же есть.

Еще в 2005 г. была создана программа Verified by Visa (Проверено Visa), основанная на технологии 3D-Secure. Ее суть состоит в том, что первоначально пользователь регистрируется в системе электронной торговли. Он заходит на web-сайт банка-эмитента и по ключевому слову (называется при оформлении карты) получает отдельный пароль для совершения online-покупок. Далее он идет в Интернет-магазин, выбирает товар и заявляет, что собирается расплатиться картой. Запрос поступает на сервер банка-эмитента, который и производит аутентификацию. В этот момент между персональным компьютером пользователя и банком организуется закрытое соединение (с использованием SSL). Пользователь вводит данные карты и пароль, банк их проверяет, после чего сообщает магазину результаты проверки - "да" или "нет". Дальше магазин обычным образом запрашивает авторизацию через банк-эквайрер. Если банк-эмитент подтверждает наличие денег на счете - покупка совершается. При этом весь процесс занимает считанные секунды. Хакеры лишаются возможности воровать данные держателей карт из базы Интернет-магазина, потому что этих данных там больше нет.

Помимо пароля в 3D-Secure могут использоваться различные методы аутентификации. Можно, например, выдать чиповые карточки или каждый раз присылать клиенту SMS-сообщение на телефон, когда он что-то покупает в Интернете. SMS-сообщение будет содержать одну надпись: "Введите пароль". Клиент вводит пароль на телефоне, отправляет его через SMS, после чего на компьютере возникает сообщение: "Вы аутентифицированы, продолжайте покупку". Чтобы программа действительно заработала, ее должны поддержать банки-эквайреры, сетевые магазины, банки-эмитенты, а каждый держатель карточки - получить пароль.

Программа Verified by Visa сейчас реализуется во всем мире. В Америке ее поддержало несколько тысяч банков и большая часть online-магазинов. В России технология до сих пор не столь широко распространена, даже среди крупнейших банков есть не примкнувшие к этой программе, поэтому пользователи и продолжают использовать электронные деньги, зачастую доверяя защиту своих финансов парольной аутентификации, хотя есть и на порядок более надежные методы.

Уровни обеспечения безопасности

Протокол SSL предлагает действенное решение проблемы - аутентификацию пользователя по цифровому сертификату, так как отказываться от простого и удобного использования web-сервиса, доступного из любой точки мира, из-за возможных рисков готовы далеко не все. Выход один - снизить эти риски. Большинство аналитиков и специалистов в области информационной безопасности безоговорочно признают, что лучшей практикой для защиты доступа к своему электронному счету является использование аппаратного средства для строгой аутентификации - электронного ключа или токена. Здесь можно провести аналогию с системами "клиент-банк", где важнейшим вопросом, касающимся удаленных способов работы банка с пользователем, является обеспечение безопасности. Уровни обеспечения могут быть разными, но система безопасности в целом состоит из следующих составляющих:

аутентификация и авторизация (подтверждение того, что пользователь системы действительно является тем, за кого себя выдает, и проверка его прав на совершение каких-либо операций);

шифрование передаваемых данных (опциональное использование);

применение электронной цифровой подписи или иного аналога собственноручной подписи (подтверждение авторства трансакции и целостности ее данных, а также действий, совершенных конкретным пользователем);

регистрация всех трансакций в специальных журналах и аудит.

Топ-менеджмент ряда прогрессивных банков понимает, что использование простейших способов аутентификации типа логин-пароль не обеспечивает нужной степени защиты и это серьезным образом подрывает доверие к дистанционным технологиям обслуживания клиентов, Интернет-банкингу и т.п., что не может не сказываться на репутации банка.

Конечно, в системах "клиент - банк" речь идет о реальных денежных средствах, а не о неких эквивалентах денег, как в случае с WebMoney, "Яндекс. Деньги" и др. Однако риски и в том, и в другом случае одни и те же - вопрос лишь в масштабе бедствий. Между тем использование двухфакторной аутентификации представляет собой сферу взаимного интереса как компаний, представляющих сервисы на основе "электронных денег", так и пользователей этих сервисов: с одной стороны, пользователь будет уверен в том, что при любых обстоятельствах никто не сможет получить доступ к его счету без наличия электронного ключа (USB-устройство или смарт-карта) и знания PIN-кода к нему, с другой - риск дискредитации компании, предоставляющей услуги электронных платежей с использованием электронных же денег, при применении клиентами токенов фактически сводится к нулю.

В настоящее время основными преградами к применению аппаратных средств аутентификации в системах электронных расчетов в Интернете являются незрелость сегментов e-banking и e-commerce, высокий уровень сокрытия инцидентов, связанных с нарушениями безопасности в этой области, и не самая низкая стоимость аппаратных средств. Однако появление таких бюджетных токенов, как, например, eToken PASS, ориентированных для использования в подобного рода сервисах, вполне возможно, исправит данную ситуацию в будущем. Более того, следует отметить, что некоторые электронные платежные системы, например, WebMoney, по запросу клиента могут предложить использование аппаратного токена для проведения аутентификации перед какой-либо операцией с электронными деньгами. Развитие такой тенденции может привести к существенному росту доверия к этим системам, а значит, к развитию этого рынка.

А.Комаров

Эксперт

по информационной безопасности

компании Aladdin